synu87 Opublikowano 24 Sierpnia 2017 Zgłoś Udostępnij Opublikowano 24 Sierpnia 2017 Witajcie! Naciąłem się dziś jak dzieciak na stronkę, która pod ściągniętym i zainstalowanym załącznikiem wpakowała mi do systemu dokładnie 699 różnego rodzaju śmieci (otwierające się bezustannie reklamy chińskich portali randkowych, toolbary, search enginy i czego jeszcze Europa Wschodnia razem z Azją na oczy nie widziała). Widmo formata wydawało się nieuniknione jednak z pomocą na szczęście przyszedł duet Malwarebytes/Adwcleaner. Przeskanowany i wyczyszczony system wydaje się odratowany, zmagam się wciąż jednak z parszywym "liveadexchanger", kóry w Chromie stara się otwierać niechciane okna. Wspomniane programy żadnych infekcji już nie wykrywają, reinstalacja Chrome i reset do ustawień domyślnych również nie pomaga. Czy możecie pomóc mi poradzić sobie z tym kłopotem? Doklejam w załącznikach logi z FRST. Z góry dzięki za rady i pozdrawiam! Addition_24-08-2017 21.42.26.txt FRST_24-08-2017 21.42.26.txt Odnośnik do komentarza
jessica Opublikowano 24 Sierpnia 2017 Zgłoś Udostępnij Opublikowano 24 Sierpnia 2017 Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego: Task: {0E9D98FA-E67B-486A-85CA-E35F758D9F66} - System32\Tasks\uuxHwpnMkRCRpJh => rundll32 "C:\Program Files (x86)\thzXuJvjU\VA2h1A3.dll",#1Task: {8EBEFC74-236B-4B3A-B7DE-3B03F8AE5303} - System32\Tasks\TnqpiRJoXWMCwN => rundll32 "C:\Program Files (x86)\GXZiGyYLSHyU2\j7OauQX.dll",#1Task: {EB57E747-B8BD-40A1-8B0A-6575799D6576} - System32\Tasks\uuxHwpnMkRCRpJh2 => rundll32 "C:\Program Files (x86)\thzXuJvjU\VA2h1A3.dll",#1Task: {F24081D2-BD6B-47CB-B022-36774F81D263} - System32\Tasks\{38156FAD-60BC-44DB-8C69-5EFE949042B6} => rundll32.exe "C:\Users\Damian\AppData\Local\Microsoft\TaskPlay\caches.dat",StaticCacheRemoveDirectory: C:\Program Files (x86)\thzXuJvjURemoveDirectory: C:\Program Files (x86)\GXZiGyYLSHyU2RemoveDirectory: C:\Users\Damian\AppData\Local\Microsoft\TaskPlayHKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGAGroupPolicy: Ograniczenia - Chrome <==== UWAGAFF Plugin-x32: @haitao.com/npHaitaoPlugin -> C:\Users\Damian\AppData\Local\htyh\application\htwebHelper.dll [brak pliku]RemoveDirectory: C:\Users\Damian\AppData\Roaming\ezagbau4d5fRemoveDirectory: C:\Users\Damian\AppData\LocalLow\HGQlVNXRXkVsTRemoveDirectory: C:\Users\Damian\AppData\Roaming\whkyutlfxzvRemoveDirectory: C:\Users\Damian\AppData\Roaming\10i41e230rwRemoveDirectory: C:\Users\Damian\AppData\Roaming\jwwr3bjtzywRemoveDirectory: C:\Users\Damian\AppData\Roaming\u42uz1hn5dpRemoveDirectory: C:\Users\Damian\AppData\Roaming\fu123henmdhRemoveDirectory: C:\Users\Damian\AppData\Roaming\eyd45jzwejqRemoveDirectory: C:\Users\Damian\AppData\Roaming\chromaRemoveDirectory: C:\Users\Damian\AppData\Local\cypjMERAkyRemoveDirectory: C:\Program Files (x86)\ShutdownTimeC:\WINDOWS\C_iRUX.datC:\Users\Damian\AppData\Local\installer.datEmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Zrób nowe logi FRST. przed skanem zaznacz: Additional.txt Shortcut.txt, jessi Odnośnik do komentarza
synu87 Opublikowano 24 Sierpnia 2017 Autor Zgłoś Udostępnij Opublikowano 24 Sierpnia 2017 Dziękuję za błyskawiczną odpowiedź! Fix poczyniony, nowe logi załączam poniżej FRST_24-08-2017 22.22.10.txt Shortcut_24-08-2017 22.22.10.txt Addition_24-08-2017 22.22.10.txt Odnośnik do komentarza
jessica Opublikowano 24 Sierpnia 2017 Zgłoś Udostępnij Opublikowano 24 Sierpnia 2017 Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego: C:\WINDOWS\Tasks\uuxHwpnMkRCRpJh.job2017-08-09 20:02 - 2017-08-09 20:02 - 000000000 ____D C:\Users\Damian\AppData\Roaming\baidu2017-08-09 20:02 - 2017-08-09 20:02 - 000000000 ____D C:\Users\Damian\AppData\Roaming\360se62017-08-09 20:02 - 2017-08-09 20:02 - 000000000 ____D C:\Users\Damian\AppData\Local\360chromeRemoveDirectory: C:\Program Files (x86)\thzXuJvjUEmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Jak oceniasz sytuację po tych usuwaniach? jessi Odnośnik do komentarza
synu87 Opublikowano 24 Sierpnia 2017 Autor Zgłoś Udostępnij Opublikowano 24 Sierpnia 2017 Niestety problem wciąż występuje. Malwarebytes wyświetla alert o zablokowaniu skryptu liveadexchanger.com, który inicjowany jest przez chrome.exe :/ Raz jeszcze wrzucam aktualne logi. Addition_24-08-2017 22.46.17.txt FRST_24-08-2017 22.46.17.txt Shortcut_24-08-2017 22.46.17.txt Odnośnik do komentarza
jessica Opublikowano 24 Sierpnia 2017 Zgłoś Udostępnij Opublikowano 24 Sierpnia 2017 2017-08-24 20:02 - 2017-08-24 20:02 - 000000000 ____D C:\ProgramData\Windows Niezbyt podoba mi się ten folder - pojawił się w tym samym czasie, co infekcja. Ale boję się go dać do usuwania - nazwa kojarzy się z Systemem, nie chcę zaszkodzić. Może jeszcze zajrzy tu @Picasso, i rozstrzygnie, ale na to nie mam wpływu, czy zajrzy, czy nie. Poza tym logi wydają się czyste. jessi Odnośnik do komentarza
synu87 Opublikowano 6 Września 2017 Autor Zgłoś Udostępnij Opublikowano 6 Września 2017 Hej, odświeżam temat, bo natarczywość tych malware'owych śmieci wydaje się wzrastać. Co jakiś czas chcąc przejść do nowej strony/zakładki/logowania chrome przekierowuje mnie na strony z reklamami (jakieś zakłady bukmacherskie, strony randkowe itp.) Od czasu do czasu Malware Bytes informuje mnie o zablokowaniu takiego połączenia, ale skanowanie komputera niczego nie wykazuje. Wygląda to tak Czy dołączone logi wydają się coś sugerować, czy pozostanie mi format? :/ Shortcut.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 14 Września 2017 Zgłoś Udostępnij Opublikowano 14 Września 2017 2017-08-24 20:02 - 2017-08-24 20:02 - 000000000 ____D C:\ProgramData\Windows Niezbyt podoba mi się ten folder - pojawił się w tym samym czasie, co infekcja. Ale boję się go dać do usuwania - nazwa kojarzy się z Systemem, nie chcę zaszkodzić. Jessika, systemowy folder to C:\ProgramData\Microsoft. Cytowany to śmieć, ale tu nie powinien mieć znaczenia. Widmo formata wydawało się nieuniknione jednak z pomocą na szczęście przyszedł duet Malwarebytes/Adwcleaner. Przeskanowany i wyczyszczony system wydaje się odratowany, zmagam się wciąż jednak z parszywym "liveadexchanger", kóry w Chromie stara się otwierać niechciane okna. Wspomniane programy żadnych infekcji już nie wykrywają, reinstalacja Chrome i reset do ustawień domyślnych również nie pomaga. Czy MBAM był zainstalowany przed infekcją, czy dopiero pojawił się podczas czyszczenia? Czy przekierowania występują tylko w Google Chrome ale nie we wbudowanych przeglądarkach Microsoftu (Edge lub Internet Explorer)? ----> Jeśli problem tyczy też przeglądarek Microsoftu, cache DNS może być zainfekowane. ----> Jeśli problem tyczy tylko Google Chrome, to któreś z rozszerzeń może być zmodyfikowane. Z niedomyślnych elementów widać tylko jedno: CHR Extension: (Speed Dial 2 - New tab) - C:\Users\Damian\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpfpebmajhhopeonhlcgidhclcccjcik [2017-09-06] W jaki sposób była robiona reinstalacja Chrome, tzn: czy podczas deinstalacji zaznaczyłeś opcję "Usuń dane przeglądania" (czyli profil), czy używasz konta Google do synchronizacji danych, a jeśli tak to czy czyściłeś synchronizację (to nie jest reset ustawień na poziomie lokalnym)? Odnośnik do komentarza
synu87 Opublikowano 18 Września 2017 Autor Zgłoś Udostępnij Opublikowano 18 Września 2017 (edytowane) Sam nie wierzę w swoje szczęście - jak długo żyję nie zdarzyło mi się walczyć z takimi prezentami nieumyślnie zainstalowanymi z internetu. Szczególnie, że zdarza mi się to teraz ponownie :/ Jak widać nie każdy człowiek uczy się na błędach. Szemrana instalacja zainfekowała mój PC toną śmieci, które nie tylko spowodowały inwazję malware, ale także poskutkowały instalacją i uruchomieniem niechcianych aplikacji i procesów. Wyczyściłem system Malware Bytes, lecz chciałbym poprosić o analizę logów i ratunek Komp nie był uruchamiany od tygodnia, wiec wszystko co pojawiło się w systemie dzisiaj pochodzi z tego nieszczęsnego setupu. Addition.txt Shortcut.txt FRST.txt Edytowane 18 Września 2017 przez picasso Tematy sklejone razem. //picasso Odnośnik do komentarza
picasso Opublikowano 18 Września 2017 Zgłoś Udostępnij Opublikowano 18 Września 2017 Co z poprzednim wątkiem? A ta szemerana instalacja to prawdopodobnie KMSpico 10.2.0 Portable Final. Działania do przeprowadzenia: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {7E9ECEF1-31F9-49F9-8CD6-BB3BBFC3B2C4} - System32\Tasks\AutoPico Daily Restart => C:\Users\Damian\Downloads\KMSpico [Argument = 10.1.6 Final Portable\KMSpico 10.1.6 Final + Portable\KMSpico 10.1.6 Final\KMSpico Portable\AutoPico.exe /silent] Task: {80E2901A-9635-4BC0-8638-204095A0DB2F} - System32\Tasks\ShadowsocksS => C:\Applications\Service.exe HKLM\...\Run: [sERVICE] => [X] HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia GroupPolicy: Ograniczenia - Chrome CHR HKU\S-1-5-21-409258567-3048439020-1977071521-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bncccjepkagemgfhbeknoggaadchfcfb] - C:\Applications C:\Applications1 C:\ProgramData\Windows C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk C:\Users\Damian\AppData\Roaming\1337 C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Ехрlоrеr.lnk C:\Users\Damian\Desktop\PhotoshopPortable\PhotoshopCS6Portable — skrót.lnk C:\Users\Damian\Downloads\*.crdownload C:\Users\Damian\Downloads\KMSpico 10.2.0 Portable Final C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk C:\Users\Public\Desktop\Моzillа Firеfох.lnk Hosts: CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zostały usunięte skróty przeglądarek (niepoprawne pozostałości po adware ze znakami Unicode w nazwach), więc odtwórz je ręcznie w wybranych miejscach. Następnie wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
synu87 Opublikowano 18 Września 2017 Autor Zgłoś Udostępnij Opublikowano 18 Września 2017 Próba zabawy ze wspomnianą aplikacją spowodowała poprzedni problem. Pomoc użytkownika @jessica okazała się ratunkiem w 99% (w chromie wciąż pojawiały się od czasu do czasu niechciane przekierowania), a nieudolne poszukiwania aplikacji, która mogłaby temu zaradzić skończyła się dzisiejszą infekcją :/ Dziękuję za szybką odpowiedź, logi po fixie prezentują się następująco. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 18 Września 2017 Zgłoś Udostępnij Opublikowano 18 Września 2017 O ile skrypt FRST wykonany, to nie ma żadnych oznak resetu Firefox i nadal adware w Firefox obecne. Próba zabawy ze wspomnianą aplikacją spowodowała poprzedni problem. Pomoc użytkownika @jessica okazała się ratunkiem w 99% (w chromie wciąż pojawiały się od czasu do czasu niechciane przekierowania), a nieudolne poszukiwania aplikacji, która mogłaby temu zaradzić skończyła się dzisiejszą infekcją :/ Jeśli problem przekierowań liveadexchanger nadal występuje, to nadal aktualne pytania z mojego tego posta. Odnośnik do komentarza
synu87 Opublikowano 18 Września 2017 Autor Zgłoś Udostępnij Opublikowano 18 Września 2017 MBAM zainstalowany został po infekcji. Firefox i Chrome wyczyszczone. Kontrolne uruchomienie Edge nie wykazało problemu, ale biorąc pod uwagę fakt, że w Chromie przekierowania też zdarzają się losowo nie jestem pewny, czy to wystarczający dowód na to, ze z DNSami wszystko gra. Jak mogę to sprawdzić? Reinstalacja Chrome przeprowadzona została na twardo, z usunięciem wszystkich danych lokalnych. Mimo tego przekierowania zostały. Nie używam synchronizacji konta. Ponownie załączam logi. Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 18 Września 2017 Zgłoś Udostępnij Opublikowano 18 Września 2017 Tematy sklejam razem, jest kontynuacja wątków. Na wszelki wypadek dodam czyszczenie bufora DNS. Poza tym uruchomiłeś skrypt zanim skończyłam go edytować i komenda resetu pliku Hosts nie została wykonana. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CMD: ipconfig /flushdns Hosts: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Damian\Downloads\FRST-OlderVersion DeleteKey: HKCU\Software\Google\Chrome\Extensions Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
synu87 Opublikowano 18 Września 2017 Autor Zgłoś Udostępnij Opublikowano 18 Września 2017 Fix poczyniony. Fixlog w załączeniu. Czy konieczny jest reset? Chwilę po fixie w Chromie znów nastąpiło niechciane przekierowanie :/ Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 18 Września 2017 Zgłoś Udostępnij Opublikowano 18 Września 2017 Mam pytania: - Czy te przekierowania nie pojawiają się aby tylko gdy próbujesz otworzyć konkretną stronę? - Czy rozszerzenie "Speed Dial 2 - New tab" jest obecnie włączone (raport sugeruje że nie) oraz czy było ono także przed reinstalacją całego Chrome? Odnośnik do komentarza
synu87 Opublikowano 18 Września 2017 Autor Zgłoś Udostępnij Opublikowano 18 Września 2017 Pojawiają się przy okazji różnych stron. Ich wspólnym mianownikiem zdaje się być opcja logowania (forum internetowe, poczta www itd.) Speed Dial mam włączony, używałem go przed reinstalacją, po ponownym zainstalowaniu Chrome musiałem ten dodatek zainstalować ponownie (nie ładowałem wyeksportowanych danych). edit: ponownie dokonałem twardej reinstalacji Chrome, zobaczymy czy tym razem pomoże. edit 2: nie pomogło :/ Odnośnik do komentarza
picasso Opublikowano 19 Września 2017 Zgłoś Udostępnij Opublikowano 19 Września 2017 Podaj przykładowe adresy stron podczas których pojawia się ten komunikat. Odnośnik do komentarza
synu87 Opublikowano 20 Września 2017 Autor Zgłoś Udostępnij Opublikowano 20 Września 2017 Przeskanowanie systemu programem Zemana AntiMalware poskutkowało usunięciem 2 trojanów, których nie wykrył MBAM. Dodatkowo zmiana antyvirusa z systemowego na ESET spowodowała wyraźną poprawę (kilka reklam zostało zblokowanych, nowe nie pojawiają się). Mam nadzieję, że to dobry prognostyk Tak czy inaczej dziękuję raz jeszcze za pomoc. Była nieoceniona! Odnośnik do komentarza
picasso Opublikowano 20 Września 2017 Zgłoś Udostępnij Opublikowano 20 Września 2017 Zaprezentuj raport z Zemana co zostało usunięte i skąd, bo raporty nie wskazywały na obecność elementu który się aktywnie ładuje. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się